CUMPLIMIENTO PCI DSS
¿Sabes que te aporta el cumplimiento de PCI DSS?
Seguridad para tus clientes y tu negocio
PCI DSS (Payment Card Industry Data Security Standard)
Es fruto del esfuerzo del PCI Security Standards Council (PCI SSC) formado por las principales compañías emisoras de tarjetas de pago (Visa, Mastercard, American Express, JCB y Discover).
PCI DSS permite facilitar a comercios, proveedores de servicios y bancos a reducir el riesgo de fuga de información de los tarjeta habientes, mediante la protección de las infraestructuras (todos los elementos involucrados en el ecosistema) que procesan, transmiten o almacenan datos relativos a tarjetas de crédito.
Cualquier organización que participe en el procesamiento, transmisión o almacenamiento de información de tarjetas de pago debe cumplir con los requerimientos de la norma PCI DSS con el propósito de proteger los datos de tarjeta de sus clientes.
Cumplir con una certificación PCI DSS te garantiza muchos beneficios:
¿Cómo lo hacemos?
Cumplimiento y definición de alcance:
No esperes a que se rompa... ¡hazlo mejor! Siempre es mejor adelantarse y detectar oportunidades para implementar mejores procesos, metodologías y tecnologías en la seguridad para tus clientes y tu negocio.
El primer paso para el CUMPLIMIENTO de los requerimientos PCI DSS es realizar un análisis identificando dentro de la organización los componentes del sistema como: aplicaciones, bases de datos, servidores, equipos de red, etc., involucrados en el procesamiento, almacenamiento y/o transmisión de datos de tarjeta.
Levantamiento de Flujos
Este servicio permite identificar el ambiente en el cual se encuentran presentes datos de Tarjeta-Habiente en tu organización para poder optimizar el alcance de su certificación PCI DSS.
Esto se logra mediante la identificación de los procesos o flujos donde se almacena, procesa o transmiten datos de tarjeta dependiendo del rol que realice la entidad en la industria de pagos con tarjetas.
Inventarios
Se identifican los componentes del sistema involucrados en el ambiente de datos de tarjeta.
Segmentos de Red
Se identifican los segmentos de red involucrados en el ambiente de datos de tarjeta y los que se conectan al CDE (cardholder data environment), con el fin de definir estrategias de reducción de alcance a nivel de la red y los controles que se deben tener para aislar el ambiente de datos de tarjeta habiente.
Identificación de Proveedores de servicio y matriz de responsabilidades
Se relacionan los proveedores de servicio con los cuales se comparte información de tarjetas o que impactan la seguridad del ambiente de datos y se identifican los controles que son responsabilidad del proveedor y de la organización.
El primer paso para el CUMPLIMIENTO de los requerimientos PCI DSS es realizar un análisis identificando dentro de la organización los componentes del sistema como: aplicaciones, bases de datos, servidores, equipos de red, etc., involucrados en el procesamiento, almacenamiento y/o transmisión de datos de tarjeta.
Tablas de Retención
Referencian los repositorios que contienen datos de tarjeta PAN (Primary Account Number) con su respectiva ubicación, método de protección, tiempo de retención y método de destrucción.
GAP
O brecha, como lo quieras llamar. Es el paso que debes dar como organización para conocer el estado de cumplimiento con las prácticas actuales vs. los requisitos propuestos por el estándar de Seguridad PCI DSS haciendo un análisis de brechas.
Proporciona una comparación detallada de lo que tu organización esta haciendo actualmente identificando áreas de no conformidad que requieran solución previa a una validación de cumplimiento formal del estándar
Para hacer un correcto análisis de brechas utilizamos la siguiente metodología:
5. Análisis de resultados
6. Consolidado
7. Informe GAP
8. Fin
Plan de Acción
Con base en los hallazgos del GAP validamos el plan de acción para el cierre de las brechas realizando acompañamiento y seguimiento al proceso.
Apoyamos el cierre de los hallazgos con un enfoque objetivo por cuanto nuestros servicios no comprometen la independencia de criterio como organización QSA.
Evaluación de cumplimiento
Algunas organizaciones sobresalen en evaluación de cumplimiento y otras no: ¿cuál quieres ser?
Las que sobresalen son las que orientan sus esfuerzos a definir controles para la protección de los datos del titular de la tarjeta y/o datos confidenciales de autenticación durante su procesamiento, almacenamiento y/o transmisión.
La evaluación se concentrará en validar si los procesos donde se almacenan, procesan o transmiten datos de tarjeta cumplen con los requerimientos de la norma PCI DSS.
Nuestra metodología
5. Realizar evaluación en sitio
6. Generar ROC y AOC
7. Fin
Esto es lo que HACEMOS en tu organización para cumplir la normatividad PCI:
Apoyamos a la organización en su proceso de seguimiento al cumplimiento de manera que los controles de la norma PCI DSS se realicen como parte de sus actividades de negocio (BAU), mediante validaciones trimestrales.
Apoyamos a los comercios y proveedores de servicios en la validación de cumplimiento con el SAQ (Cuestionario de Evaluación), mediante el acompañamiento en la definición del alcance, diagnostico, plan de acción y validación de los requerimientos aplicables de la norma PCI DSS.
Apoyamos a las organizaciones en realizar la validación de sus proveedores de servicio o terceros, identificando los requerimientos de la norma que les aplican de acuerdo a los servicios que prestan y verificando su cumplimiento.
Nos alineamos con la Gerencia de Proyectos de tu Organización permitiendo que el alcance de PCI DSS nos permita cumplir con su propósito y aporte valor a tu organización
Tu misión:
Comenzar AHORA a realizar tu evaluación de cumplimiento PCI DSS empezando a proteger los datos de tus clientes